最終更新 2018年3月6日

<危険>偽フォントでウイルス感染HoeflerText font wasn't foundに注意

イメージ 4

ネットサーフィン中の Windws ユーザーさん、偽の通知ポップアップ画面に騙されないで!

米国のセキュリティ企業 Proofpoint inc. によると、悪意のある第三者によって 改ざんされている正規の一般サイト に Windows 向けのブラウザ Google Chrome でアクセスすると…

HoeflerText フォントが見つかりません

といった、もっともらしいメッセージが表示されて、不審な実行ファイル (拡張子 .exe) をダウンロードするよう誘う巧妙な攻撃が確認されてるそうです。 <ウイルス自爆感染を狙う

EITest Nabbing Chrome Users with a “Chrome Font” Social Engineering Scheme - Proofpoint
https://www.proofpoint.com/us/threat-insight/post/EITest-Nabbing-Chrome-Users-Chrome-Font-Social-Engineering-Scheme

HoeflerText フォントが見つからない偽通知の詳細

調査するため、改ざんされている一般サイトにアクセスして動作確認してみました。 <決して 「怪しいサイト」 ではない

イメージ 6
Chrome でフォントが足らない?

イメージ 1
HoeflerText フォント!? Chrome Font Pack!?

イメージ 5
改ざんされた正規サイトでマルウェア感染を誘う偽通知

The "HoeflerText" font wasn't found.
The web page you are trying to load is displayed incorrectly, as it uses the "HoeflerText" font. To fix the error and display the text, you have to update the "Chrome Font Pack". FireflyFramer
Manufacturer: Google Inc. All Rights Reserved
Current version: Chrome Font Pack 53.0.2785.89
Latest version: Chrome Font Pack 57.2.5284.21 [Update]
【日本語の意味】
「HoeflerText」 フォントが見つかりません。読み込もうとするウェブページは「HoeflerText」 フォントを使用してるので、正常に表示されませんでした。エラーを修正して本文を表示するには 「Chrome Font Pack」 を更新する必要があります。 無題な濃いログ

  1. 改ざん被害を喰らっている一般サイトに Chrome ブラウザでアクセスする
    └ WordPress など CMS で運用されてるウェブサイトが多い

  2. アクセスした直後にページ全体が薄暗く暗転し、中央に通知ポップアップ画面が出現する
    通知ポップアップ画面の右上には本物の Google Chrome のロゴマークも表示されている

凝っていて感心してしまうのが、ウェブサイト上のオリジナルの文章が意図的に 「ひし形」×「?マーク」 の記号で変換されていて、実際に 文字化け現象が発生しているかのような嘘の演出 までも行われるところでしょう。

何だかんだ起こり得る文字化けの 「不具合」 を見せつけて、「Chrome Font Pack」 なる謎のプログラムを更新するようユーザーに説明し、詐欺師の意図した通りに誘導するには十分なトラップかもしれません。 


通知ポップアップ画面が表示されたら対処方法は?

偽の通知画面 「The ”HoeflerText” font wasn't found」 が眼前に表示された場合のベスト・プラクティスは?

改ざんされている正規の一般サイトに運悪くアクセスした形なので、ウェブサイトから離脱するため何もせずに Chrome ブラウザのタブを閉じる ことで解決です。

イメージ 11

  • [ESC] キー
    → ブラウザのダイアログを消す

  • [CTRL + W] キーの同時押し
    → 現在開いているタブを閉じる

なお、改ざんされているウェブサイトは日本国内を始め、世界中に複数存在するはずで、「危険な怪しいサイト、エッチなサイトにアクセスしないから自分は大丈夫! (キリッ」 みたいな前世代的なウイルス対策では効果ないです。

Google のセーフ ブラウジング テクノロジーは、1 日に数十億もの URL を調査して、安全ではないウェブサイトを探しています。安全ではないウェブサイトは毎日新たに数千件 も見つかります。その多くは、正当なウェブサイトが不正使用されたもの です。
https://transparencyreport.google.com/safe-browsing/

偽通知で不審な実行ファイル .exe のダウンロード

HoeflerText 通知画面の右下に見える青い [Update] ボタン をポチッと押すとどうなる?

イメージ 2
ブラウザ左下のファイルを起動するよう↓マークで指示

The "HoeflerText" font wasn't found.
Step 1: In the bottom left corner of the screen you'll see the download bar. Click on the {Chrome_Font.exe / Font_Update.exe} item. FireflyFramer
Step 2: Press Yes(Run) in order to see the correct content on the web page.
[Update]

コンテンツを正しく表示するため、ダウンロードしたファイルを起動するよう図入りで指示を出してきます。

この時にダウンロードされた Windows 実行ファイル 拡張子 .exe) は、実際には HoeflerText フォントを表示するための 「Chrome Font Pack」 でも何でもないことになります。

イメージ 9
フォントアップデートと称する実行ファイル 「Font_update.exe

イメージ 3
ユーザーに開くよう促される実行ファイル 「Chrome_Font.exe

【ダウンロードされるファイル名の例】
Chrome_Font.exe / Font_Update.exe / Update.exe / Chrome Font.exe / Chrome Font v[数字].[数字].exe / Chrome font v[数字].[数字].exe / Chrοme fοnt.exe / Chrome Ϝont.exe / Chrоme Fоnť.exe / Chrоmе fonṫ.exe / Ϲһromе fоnṫ.exe / Chrοmе fοnṫ.exe / Chrоme fonť.exe / Ϲһrоmе fоnƫ.exe / ϹҺrơmе font.exe / Font_Chrome.exe / Font_update.exe / Font update.exe / font_update.zip
https://fireflyframer.blog.jp/19064329.html

それこそ 道に落ちてる食べ物を拾い食い という危険行為です。

ファイルの正体は マルウェア (コンピュータ ウイルス) であり、「Chrome Font Pack」 と思い込んでダブルクリックして開いた Windows ユーザーさんは感染アウトとなります。

ランサムウェアに感染してファイル破壊で開けない被害

実行ファイルは Windows パソコンを動作環境とする脅威 ランサムウェア (身代金型ウイルス) などが確認されています。

イメージ 8
感染するランサムウェアの1つ
ファイル破壊で脅迫するウィンドウ画面


なお、ランサムウェア攻撃を仕掛ける詐欺師は、セキュリティソフトのウイルス定義データで検出されない新鮮な亜種を随時配信し続ける体制で臨んでくるので、対応が必ずしも間に合わないセキュリティソフトの過信にご注意を!

Chrome ブラウザ向けの無料ウイルス対策

このブラウザの偽通知攻撃は、「Chrome Font Pack」 名目の実行ファイルが 半ば自動的にダウンロードされる から危なっかしいです。

ウイルスの実行ファイルを起動する直前に Windows ユーザーさんに対して起動しても問題ないか警告して意思確認するダイアログが表示されますが、はたして無視されることなく阻止できるかどうか…?

イメージ 10
素性不明の実行ファイルを起動していいか Windows のセキュリティ警告


ファイルの強制ダウンロードを無効化する対策

追加の無料ウイルス対策として、Chrome ブラウザでファイルをダウンロードする場合に Windows の 「ファイルの保存ダイアログ」 を表示するようできます。

未知の実行ファイルを開かないよう踏み留まるチャンスをさらに用意しましょう。

イメージ 7
Chrome が勝手にファイルをダウンロードする動作を無効にする

  1. Chrome ブラウザの [設定] を開く

  2. 左メニュー [ダウンロード] をクリックする

  3. ダウンロード前に各ファイルの保存場所を確認する」 オプションをオンに切り替える

ただ、こういう無料ウイルス対策を実施していても、結局は Windows ユーザーさんが騙されていて、頭の中で Chrome ブラウザで正常にフォントを表示させる 「Chrome Font Pack」 と完全に思い込んでいたら…。

もうウイルス踏み抜くだけで、どうにもこうにもいかず感染回避が困難です。

関連するブログ記事